Windows και Διαδίκτυο

ΜΔΕ Διδακτική τησ Βιολογίασ & Νέεσ Τεχνολογίεσ Ανδρέασ Αθαναςόπουλοσ

(Malicious software)

30/1/2011 2 Α. Αθαναςόπουλοσ

Χρήςη πόρων του ΗΥ (ςε ςυνδυαςμό με άλλουσ) για παράνομεσ ενέργειεσ

Επιθέςεισ ςε Server (DoS attack)

Παραβίαςη κωδικών

Αλίευςη δεδομένων (κωδικών, διευθύνςεων e-mail, αριθμών πιςτωτικών καρτών ή τραπεζικών λογαριαςμών)

Διαςκέδαςη.

30/1/2011 3 Α. Αθαναςόπουλοσ

Επιθέςεισ από το (δια)δίκτυο με εκμετάλλευςη κενών αςφαλείασ του ΛΣ ή εγκατεςτημένων προγραμμάτων

Πρόςθετα και εκτελέςιμα ςε παραποιημένεσ ιςτοςελίδεσ

Είςοδοσ με ςυνημμένα ςε e-mail Είςοδοσ μέςω μονάδων μνήμησ

(διςκέτεσ, CD/DVD, USB stick).

30/1/2011 4 Α. Αθαναςόπουλοσ

Είναι ενςωματωμένοσ ςτον κώδικα άλλου λογιςμικού

Ενεργοποιείται από κάποιο γεγονόσ (trigger)

Εκτελεί το έργο του Αναπαράγεται (μέςω φορέα) Είδη: macro, bootsector, program,

polymorphic, stealth, parasitic, armored, multipartite.

30/1/2011 5 Α. Αθαναςόπουλοσ

Αυτοτελέσ πρόγραμμα (Δεν είναι ενςωματωμένοσ ςτον κώδικα άλλου)

Αυτοαναπαράγεται Χρηςιμοποιεί κενά αςφαλείασ ή

Κερκόπορτεσ (Backdoors) για να «μολύνει» κάποιο ςύςτημα.

30/1/2011 7 Α. Αθαναςόπουλοσ

Εμφανίζεται ωσ χρήςιμο πρόγραμμα, αλλά (παράλληλα ή αποκλειςτικά) εκτελεί το ανεπιθύμητο έργο του (αλλαγή ρυθμίςεων αςφαλείασ του προςβεβλημένου ΗΥ)

Επικοινωνεί με τον δημιουργό ή αποςτολέα του

Δεν αυτοαναπαράγεται Ο προςβεβλημένοσ ΗΥ («zombie»)

κατόπιν πιθανόν αξιοποιείται ωσ μέλοσ ενόσ botnet.

30/1/2011 8 Α. Αθαναςόπουλοσ

Τμήμα κώδικα που εκτελείται πριν φορτωθεί το ΛΣ

Τρέχει με δικαιώματα διαχειριςτή -αλλάζει τα δικαιώματα χρηςτών

Μπορεί να ενςωματωθεί ςε πρόγραμμα που ςυνοδεύει υλικό

Εντοπίζεται πολύ δύςκολα Συγκεντρώνει και ςτέλνει πληροφορίεσ του

χρήςτη εν αγνοία του, πχ ιςτοςελίδεσ που επιςκεφθήκαμε, πλήκτρα που πατήςαμε.

30/1/2011 9 Α. Αθαναςόπουλοσ

Καταςκοπευτικό λογιςμικό (Spyware)

Συχνά ςυνδυαςμένο με άλλο (κανονικό) πρόγραμμα που κατεβάζουμε

Συγκεντρώνει και ςτέλνει πληροφορίεσ του χρήςτη εν αγνοία του, πχ ιςτοςελίδεσ που επιςκεφθήκαμε, πλήκτρα που πατήςαμε

Λογιςμικό με διαφημίςεισ (Adware)

Παραλλαγή του παραπάνω

Pop-up ή περιοχή με διαφήμιςη.

30/1/2011 10 Α. Αθαναςόπουλοσ

Συχνά για προώθηςη πωλήςεων ή διαφήμιςη με τη λογική τησ πυραμίδασ

Όχι βλαβερό με την αυςτηρή έννοια Μπορεί ωςτόςο να αξιοποιηθεί για

παραπλάνηςη του παραλήπτη παραπέμποντάσ τον ςε ιςτοςελίδεσ που ςυλλέγουν προςωπικά δεδομένα (phishing).

30/1/2011 11 Α. Αθαναςόπουλοσ

Τύποσ: Παραςιτικόσ ιόσ

Παραλλαγϋσ : PE_CIH, SPACEFILLER, CHERNOBYL, TSHERNOBYL, TSERNOBYL, VIN32, CIHV.

Τρόποι μετϊδοςησ : Προςβάλλει εκτελέςιμα αρχεία των Windows 9Χ. Μετά την εκτέλεςη του μολυςμένου αρχείου, παραμένει ςτη μνήμη και μολύνει τα αρχεία των προγραμμάτων που βρίςκονται υπό εκτέλεςη.

Ενϋργειεσ : Ο ιόσ επανεγγράφει (με τυχαία δεδομένα) τα δεδομένα που περιέχονται ςτουσ τομείσ του ςκληρού δίςκου, ξεκινώντασ από τον τομέα εκκίνηςησ. Παράλληλα, προςπαθεί να αλλοιώςει και το BIOS

Τρόποι ενεργοπούηςησ : Ενεργοποίηςη ςτισ 26/4 ή 26/6 ή ςτισ 26 κάθε μήνα.

30/1/2011 Πηγή: Γκρίτζαλησ Δ. Ιομορφικό Λογιςμικό, 2005 12

Τύποσ: Μακροΰόσ

Παραλλαγϋσ: VBS/Loveletter.b, VBS/Loveletter.c, VBS/Loveletter.d κλπ. και Love Bug, Very Funny, Love Letter και Mothers Day.

Τρόποι μετϊδοςησ: Αποτελείται από κώδικα VBScript. Χρηςιμοποιεί τισ εφαρμογέσ e-mail (που υποςτηρίζουν VBScript) και αποςτέλλει e-mails ςε όλεσ τισ διευθύνςεισ του βιβλίου διευθύνςεων του χρήςτη. Το θέμα, τα περιεχόμενα και τα επιςυναπτόμενα αρχεία του e-mail ποικίλλουν. Μολύνει ςυςτήματα Windows 9Χ/NT και αρχεία με ςυγκεκριμένεσ καταλήξεισ, όπου αντικαθιςτά τον κώδικα με τον δικό του.

Ενϋργειεσ: Εγκαθίςταται από το διαδίκτυο και εκτελεί το πρόγραμμα WIN-BUGSFIX.exe, το οποίο ανιχνεύει ςυνθηματικά χρηςτών των Windows και τα αποςτέλλει ςε ςυγκεκριμένη ηλεκτρονική διεύθυνςη.

Τρόποι ενεργοπούηςησ: Τοποθετεί τη διαδρομή του WIN-BUGSFIX.exe ςτο μητρώο (registry), ώςτε να ενεργοποιείται ςε κάθε επανεκκίνηςη του ςυςτήματοσ.

30/1/2011 Πηγή: Γκρίτζαλησ Δ. Ιομορφικό Λογιςμικό, 2005 13

Τύποσ: αναπαραγωγόσ (worm)

Παραλλαγϋσ: W32/Netsky.c@MM, Win32.Netsky.C, W32/Netsky-C, WORM_NETSKY.C, I-Worm.Moodown.c, I-Worm.NetSky.c, W32/Netsky.C.worm

Τρόποι μετϊδοςησ: Χρηςιμοποιεί τη δική του μηχανή SMTP για να ςτείλει τον εαυτό του ςτισ e-mail διευθύνςεισ που βρίςκει, ςαρώνοντασ τουσ ςκληρούσ δίςκουσ και άλλουσ οδηγούσ (drives). Το θέμα, τα περιεχόμενα και τα επιςυναπτόμενα αρχεία του e-mail ποικίλλουν. Μολύνει ςυςτήματα Windows 9x/NT

Αποφεύγει (!) την αποςτολή ςε διευθύνςεισ που περιέχουν τα αλφαριθμητικά: icrosoft, antivi, ymantec, spam, avp, f-secur, itdefender, orman, cafee, aspersky, f-pr, orton, fbi, abuse. Επίςησ, προςπαθεί να απενεργοποιήςει τον αναπαραγωγό mydoom

Ενϋργειεσ: Ψάχνει ςτουσ οδηγούσ C:έωσ Ζ:για ονόματα φακέλων που περιέχουν “shar"και αντιγράφει τον εαυτό του ςε αυτούσ με το όνομα WINLOGON.EXE

Τρόποι ενεργοπούηςησ: Τοποθετεί τη διαδρομή του WINLOGON.EXE ςτο μητρώο (registry), ώςτε να ενεργοποιείται ςε κάθε επανεκκίνηςη του ςυςτήματοσ.

30/1/2011 Πηγή: Γκρίτζαλησ Δ. Ιομορφικό Λογιςμικό, 2005 14

Virus Κώδικασ που εκτελείται εν αγνοία του χρήςτη.

Είναι ενςωματωμένο ςτον κώδικα λογιςμικού –

φορέα. Ενεργοποιείται από κάποιο εξωτερικό

γεγονόσ και αναπαράγεται προςτιθέμενο ςτον

κώδικα κανονικών προγραμμάτων

Love Bug virus

Πχ: love-letter-for-you.txt.vbs

Worm Παρόμοιο με ιό αλλά αυτοτελζσ – δεν απαιτεί

ενςωμάτωςη ςε φορζα

Nimda. Διάδοςη μέςω δικτύων

και ομαδικήσ αλληλογραφίασ

Trojan Εμφανίζεται ωσ χρήςιμο πρόγραμμα, αλλά

εκτελεί (και) ανεπιθύμητο έργο. Δεν

αναπαράγεται

Remote access Trojan

Πχ: SubSeven malware application

Spyware Κακόβουλο λογιςμικό που κατεβάζουμε εν

αγνοία μασ από κάποια ιςτοςελίδα ή

εγκαθιςτούμε ςε ςυνδυαςμό με άλλο λογιςμικό

Internet Optimizer (ή αλλιώσ

DyFuCA)

Rootkit Σχεδιαςμένο να πάρει τον έλεγχο του ΗΥ

αποκτώντασ δικαιώματα διαχειριςτή

Boot loader rootkits

Πχ: Evil Maid Attack

Spam Κατάχρηςη τησ ηλεκτρονικήσ αλληλογραφίασ ή

του instant messaging

Phishing identity theft e-mails

Lottery scam e-mails

30/1/2011 Α. Αθαναςόπουλοσ 15 Πηγή: D. L. Prowse, CompTIA Security+ SY0-201 Cert Guide

30/1/2011 16 Α. Αθαναςόπουλοσ

Πρόληψη: Προλαμβάνει τη μόλυνςη από ιομορφικό λογιςμικό (πχ. διαχειριςτικά μέτρα, ενημέρωςη χρηςτών)

Ανύχνευςη: Ανιχνεύει τη μόλυνςη από ιομορφικό λογιςμικό (πχ. ανιχνευτέσ ιών)

Αντιμετώπιςη: Επαναφέρει το ςύςτημα ςτην αρχική του κατάςταςη (πχ. χρήςη αντιγράφων αςφαλείασ).

30/1/2011 Πηγή: Γκρίτζαλησ Δ. Ιομορφικό Λογιςμικό, 2005 17

Εγκατάςταςη & ςυχνή ενημέρωςη antivirus & antispyware

Εγκατάςταςη / ενεργοποίηςη firewall Κωδικόσ wpa2 ςτο αςύρματο δίκτυο Χρήςη Wi-Fi hotspot μόνο ςε ανάγκη Περιήγηςη μόνο ςε αςφαλείσ ιςτοςελίδεσ Όχι εκτέλεςη (διπλό κλικ) ύποπτων ςυνημμένων ςε e-

mail Όχι αποδοχή εγκατάςταςησ αμφίβολησ προέλευςησ

προςθέτων (plug-in) και „tools“ Ακραία λύςη: Χρήςη Linux κ.α. κλώνων Unix αντί

Windows.

30/1/2011 18 Α. Αθαναςόπουλοσ

Ενεργοποίηςη αυτόματων ενημερώςεων των

Windows και τελευταίων εκδόςεων των

προγραμμάτων

Είςοδοσ ςτα Windows ωσ χρήςτησ με περιωριςμένα

δικαιώματα

Ενεργοποίηςη εμφάνιςησ καταλήξεων αρχείων

Χρήςη πληκτρολόγιου οθόνησ (+R osk ) όταν

πληκτρολογούμε κρίςιμα δεδομένα

Virtualization

30/1/2011 19 Α. Αθαναςόπουλοσ

Ενεργοποίηςη φίλτρου ανεπιθύμητησ αλληλογραφίασ τησ υπηρεςίασ e-mail

Όχι προεπιςκόπηςη των μηνυμάτων

Τελευταίεσ εκδόςεισ των περιηγητών

Προτιμότεροι οι λιγότερο διαδεδομένοι (Opera, Safari, Chrome)

Πρόςθετα προειδοποίηςησ ύποπτων ιςτοςελίδων (WOT, McAfee SiteAdvisor κ.ά.)

Περιήγηςη ωσ χρήςτησ με περιωριςμένα δικαιώματα.

30/1/2011 20 Α. Αθαναςόπουλοσ

Δωρεάν προςταςία από ιούσ (και μερικώσ και από τα υπόλοιπα):

Antivir www.free-av.de/

Avast www.avast.com/

AVG antivirus www.grisoft.com , http://free.avg.com/

MS Security essentials

www.microsoft.com/security_essentials/.

30/1/2011 21 Α. Αθαναςόπουλοσ

Δωρεάν προςταςία από spyware κλπ:

Spybot Search & Destroy http://www.safer-networking.org/

Adaware http://www.lavasoft.de/

Windows defender http://www.microsoft.com/windows/products/winfamily/defender/default.mspx

Δωρεάν θυρωρόσ (firewall):

Zone Alarm http://www.avast.com/

Ashampoo firewall http://www.ashampoo.com

Windows firewall (από το SP2 και μετά).

30/1/2011 22 Α. Αθαναςόπουλοσ

Προςβολή από κακόβουλο λογιςμικό, κολλήματα μετά από εγκατάςταςη προγραμμάτων ή οδηγών ςυςκευών, BSOD, μη εκκίνηςη Windows

30/1/2011 23 Α. Αθαναςόπουλοσ

Δεν εγκαθιςτούμε προγράμματα που δεν είναι απολύτωσ απαραίτητα

Δοκιμέσ λογιςμικού ςε virtual system

Χρονοπρογραμματιςμένα αντίγραφα αςφαλείασ των αρχείων μασ ςε άλλο ςκληρό ή οπτικούσ δίςκουσ

Δημιουργούμε περιοδικά αντίγραφα (images) και του ΛΣ

Τα έγγραφά μασ ςε διαφορετικό διαμέριςμα (καλύτερα: δίςκο) από το ΛΣ.

30/1/2011 24 Α. Αθαναςόπουλοσ

F8 αμέςωσ μετά το BIOS & πριν το „Starting Windows“ Αςφαλόσ λειτουργύα (safe mode) αναίρεςη

προβλήματοσ (απεγκατάςταςη προγράμματοσ/ ςυςκευήσ/ οδηγού ςυςκευήσ, απενεργοποίηςη αυτόματησ εκκίνηςησ – msconfig) ή

Τελευταύα γνωςτό κανονική εκκίνηςη (Last known…)

Επαναφορϊ ςυςτόματοσ (System restore)

Βοηθήματα Εργαλεία ςυςτήματοσ

Δημιουργία ςημείων επαναφοράσ και χειροκίνητα.

30/1/2011 25 Α. Αθαναςόπουλοσ

Αντιγραφή προςωπικών αρχείων με χρήςη Linux

Live CD

Εκτέλεςη επιδιόρθωςησ ή επαναφοράσ μέςα από

την κονςόλα αποκατάςταςησ (για έμπειρουσ)

Επαναφορά system partition από αρχείο image

Δεν περιλαμβάνεται ςτα Windows XP / Vista

Αποθήκευςη αντιγράφου ςε άλλο δίςκο.

30/1/2011 26 Α. Αθαναςόπουλοσ

Εμπορικά

Norton Ghost

Acronis TrueImage

Δωρεάν

DriveImage XML

Seagate – Acronis Max Blast και DiscWizard

Paragon Backup & Recovery

EASEUS Todo-Backup.

30/1/2011 27 Α. Αθαναςόπουλοσ

Γκρίτζαλησ Δ. Ιομορφικό Λογιςμικό Παρουςιάςεισ παραδόςεων ΕΑΠ v. 1.1/2005

Κάτςικασ Σ. Αςφάλεια Υπολογιςτών ΕΑΠ 2001

D. L. Prowse CompTIA SecurityPlus SY0-201 Cert Guide, Pearson 2010

30/1/2011 Α. Αθαναςόπουλοσ 28